浅析金融行业数据安全

浅析金融行业数据安全当前银行业对信息科技的高度依赖，使得信息技术系统的安全性、可靠性和有效性直接关系到整个银行业的安全和金融体系的稳定。随着我国银行业科技进步的步伐逐渐加快，特别是近两年来银行业信息和数据逻辑集中程度的不断提高，信息科技风险已经成为银行业金融机构稳健运行的又一重要隐患。数据是银行的重要资产之一，是现代商业银行的命脉，关乎银行的生存与发展。业务系统为银行的精确化管理与业务优化，为银行经营战略的规划与决策提供了及时、准确、有力的支撑。与此同时，各类涉及商业秘密和敏感数据信息在处理、共享和使用过程中也面临被违规越权使用或被用于非法用途等数据信息泄漏的安全风险。一方面，数据处理过程中大量的用户信息及用户业务使用信息等个人隐私数据需要保护；另一方面，数据统计分析所形成的各类报表作为企业重要的经营信息也需要保护。数据信息已经成为银行业务经营的核心资产，是企业的核心竞争力，敏感数据信息泄露事件的频繁发生，严重影响了银行和客户利益，直接影响到企业的行业竞争力和市场声誉。因此，加强企业数据信息安全保护，既是银行自身发展的客观要求，也是为了满足行业监管的需要。金融行业敏感信息，存在安全隐患从银行敏感信息的来源分析，一方面是涉及到银行商业秘密的电子文档，如战略决策、营销策划、重大会议纪要、市场信息、财务信息等文档；另一方面来自各类生产业务系统所产生的运营数据和客户信息。从银行敏感信息的展现形式分析，既有电子文档的形式，也有在业务系统页面显示的形式。从银行敏感信息的使用分析，既有在内部终端计算机上使用，也有在移动终端上使用的需求，如：OA移动办公。通过对上述敏感信息的现状分析，主要存在以下安全隐患：1）敏感信息以明文方式下载、存储和流转，缺少保护措施，任何人员只要得到文件即可轻易打开读取、复制、打印内容；2）敏感信息与当前人员无任何关联，可以任意发送给内部或外部人员，文件的内部分发和外发流向不可控；3）相关人员对敏感信息的使用情况无迹可寻，无法进行事后审查和追责。构建金融行业文档安全与数据防泄漏体系根据多年实践经验表明，采用“堵”的方式进行企业安全管理，即采用各种技术手段阻断网络、外设等的使用，从而试图将企业重要信息保护在内部当中，是不太合理的解决方式。这样做既改变了用户使用习惯，也不能完全阻止重要信息的外泄，因为“堵”是无法时刻跟上新技术、新应用、新设备发展的，也损失了信息化带来的便利性。因此，时代亿信根据长期的文档安全和行业应用实践经验，提出“从敏感数据的源头进行全生命周期保护”、“事前加密、事中权限控制、事后全面审计”的体系设计理念，通过对数据源头的防护，而不是对传输渠道、外设使用的管控，实现对企业重要信息的安全保护。1、在数据源头方面，实现敏感数据的源头加密和全生命周期保护，防止非授权的访问；在内部人员方面，实现不同人员的细粒度、差异化的权限控制，防止内部的任意扩散；在传既实现了全行统一的安全策略制定与分发，又可针对不同分行或应用系统设置个性化安全策略。既能够满足应用系统数据安全防护的迫切需求，又可对用户终端的数据文件进行有效